Konfiguracja firewalla w rozwiązaniu NETASQ opiera się o istniejące obiekty (m.in. hosty, zakresy IP, sieci czy grupy obiektów), którym przypisuje się uprawnienia w dostępnie do sieciowych usług. Urządzenia UTM NETASQ w fabrycznych ustawieniach posiadają włączony zestaw reguł (zwany przez slotem) blokujący cały ruch sieciowy (z wyjątkiem połączenia z konsoli NETASQ Unified Manager).

Dzieje się tak, ponieważ NEATSQ dba oto, aby domyślna konfiguracja urządzeń UTM dawała pełne zabezpieczenie. Nawet jeśli konsekwencją tego będzie ograniczona dostępności usług sieciowych.  Stąd też tworząc reguły na firewallu należy pamiętać, że każdy zbiór reguł posiada domyślne ustawienie blokowania wszelkiego ruchu (w postaci niewidocznej reguły), który nie został zdefiniowany przez administratora jako dozwolony. Konfigurując zaporę w NETASQ administrator musi zdecydować jaki rodzaj połączeń zostanie przepuszczony przez zaporę. Tak więc, to co nie zostanie zdefiniowane jako ruch dozwolony, nie będzie mogło zostać przepuszczone przez zaporę. Warto zwrócić uwagę na fakt, że reguły „czytane” są przez urządzenie według kolejności o pierwszej od ostatniej.

Tworzenie reguł na firewallu rozpocznij od uruchomienia aplikacji NETASQ Unified Manager. Następnie przejdź do sekcji „Policy -> Filtering”.  Wyświetli się okno wyboru slotów, czyli dziesięciu zestawów reguł. W trzech kolumnach podane są informacje o nazwie slotu, dacie ostatniej modyfikacji oraz opisie. Zielony trójkąt obok jednego ze slotów oznacza, że jest on w danej chwili aktywny. Z tej listy wybierz slot, który chcesz edytować i kliknij „Edit”.

 

 

Jeśli, tak jak ja wybrałeś pusty slot (empty), wpisz nazwę w polu „slot name”, bo wysłanie zmian bez nadania mu nazwy nie będzie możliwe. Następnie przejdź do konfiguracji reguł. Sugeruję, abyś najpierw aktywował regułę. W kolumnie status zaznacz „On”. Łatwo o tym zapomnieć, a jest to konieczne, aby dana reguła zadziała.

Jak już wspominałem, tworząc reguły korzysta się z obiektów. Aby określić źródło połączenia, kliknij w kolumnę „Source”. NETASQ automatycznie wyświetli w oknie poniżej podpowiedź w postaci obiektów, które możesz użyć wyznaczając źródło. Wybierz obiekt z listy, przeciągnij i upuść obiekt w kolumnie „Source”. Przeciągając zauważysz, że NETASQ podświetli miejsca, w których można umieścić wybrany obiekt.

 

 

Na przykładzie wybrany jako źródło ruchu został host Andrzej. „Destination” pozostaw jako <Any>, aby host Andrzej mógł mieć możliwość połączenia się z każdą lokalizacja w sieci. Następnie jako „Destination  Port”  wybierz usługę. Na przykładzie użytkownik pracujący na stacji roboczej o nazwie Andrzej będzie mógł przeglądać strony internetowe. Kolejną czynnością jest ustawienie odpowiedniej akcji w kolumnie „Action”. Po dwukrotnym kliknięciu otworzy się okno wyboru akcji. Zaznacz „Pass” i kliknij OK.

 

 

W takim ustawieniu reguły na firewallu, kiedy NETASQ zidentyfikuje pakiet spełniający daną regułę, polecenie „Pass” zostanie wykonane, a połączenie przepuszczone.

Aby dodać kolejną regułę, kliknij „+” lub prawym przyciskiem myszy, a następnie „New rule”. Gdy już stworzonych reguł będzie tyle, że będzie Ci trudno się w nich połapać proponuję wykorzystać bardzo pomocne narzędzie, jakim jest separator (przycisk przedzielonym czerwoną linią). Separator oddziela zgrupowane pod nim reguły od pozostałych. Dzięki niemu widok jest bardziej czytelny i przejrzysty.

 

Natomiast w sytuacji, gdy wśród dużej ilości reguł przydarzy Ci się taka, które będzie sprzeczna z inną, umieszczony w prawym dolnym oknie analizator reguł, wyświetli komunikat, dlaczego dana reguła nie może być użyta oraz wskaże numery reguł, pomiędzy którymi powstał konflikt logiczny. Wtedy możesz dokonać korekty.

 

 

Po zakończeniu konfiguracji slotu, wyślij zmiany klikając „Send”, a następnie w oknie z listą slotów zaznacz nowo powstały zestaw i aktywuj jego działanie przez „Activate”. Powinien pojawić się zielony trójkąt, co znaczy, że slot już jest aktywny.

 

Więcej informacji uzyskasz pod numerem telefonu 68 470 07 78 lub pisząc na adres b.matlinski@perceptus.pl